Vigil@nce : McAfee AV, contournement via RAR et ZIP
mai 2009 par Vigil@nce
Un attaquant peut créer une archive RAR ou ZIP contenant un virus
qui n’est pas détecté par les produits McAfee.
– Gravité : 2/4
– Conséquences : transit de données
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 3
– Date création : 04/05/2009
PRODUITS CONCERNÉS
– McAfee VirusScan
DESCRIPTION DE LA VULNÉRABILITÉ
Les produits McAfee détectent les virus contenus dans les archives
RAR et ZIP.
Cependant, un attaquant peut créer une archive légèrement
malformée, qui peut toujours être ouverte par les outils
Unrar/Unzip, mais que l’antivirus ne peut pas ouvrir.
Trois malformations peuvent être employées.
Un attaquant peut employer un champ Headflags malformé dans une
archive RAR pour contourner l’antivirus. [grav:2/4]
Un attaquant peut employer un champ Packsize malformé dans une
archive RAR pour contourner l’antivirus. [grav:2/4]
Un attaquant peut employer un champ Filelength malformé dans une
archive ZIP pour contourner l’antivirus. [grav:2/4]
Un attaquant peut donc créer une archive RAR ou ZIP contenant un
virus qui n’est pas détecté par les produits McAfee.
CARACTÉRISTIQUES
– Références : BID-34780, CVE-2009-1348, TZO-18-2009,
VIGILANCE-VUL-8686
– Url : http://vigilance.fr/vulnerabilite/McAfee-AV-contournement-via-RAR-et-ZIP-8686